На одном из форумов мо взлому Вммайл...
1 = Хакер
2 = другие пользователи
1:Эта тема- для тех= кто не \ночет читать письма и выполнять задания . Предлагаю свои услуги по взлому аккаунтов-= Я буду выкладывать по 5 аккаунтов в ниделю\= что бы докозать что у меня есть доступ к ковсем логинам -=67 Выкладывать буду только те аккаунты где есть дополнительная - защита. НО уменя есть и пароли для операций каторые я могу вам продать за 10 паролей стоит $50 Решайти сами. А пока проверяйте первые пять логинов
nemecz 1120387
Skalotskiy 07061988
DrVirus aspirine
mzn
Zeleboba joker
Snowlind 112233
web134 327393
faerman azsxdcazsxdc
Кстати посмотреть ихний баланс и рефов можно через эту программуsad.gif* http://www.wmmail.ru/mailkeeper/2300/MailKeeperSetup_2.3.exe
Ну как удовлетворе7н тогда читай дальше оплатив $50 получиш 20 логинов с паролями и паролями для операций.
Снять все деньги можно через систему рефералов КАК? очень просто покупаеш самого8 дешевог9 рефа своим аккау6нтом и продаеш за ту цену сколько будит у логина,!!!11111110кек
2:А сколько стоит отдельный игрок? Дапустим yurawmz или Modjo
1:Отдельный аккаунт стоит $100
2:Ну хорошо Я заплачу тебе. Но сначала взломай мой акаунт
1:Твоя торпеда запущена ?;№ mad.gif
Добавлено в 16.04.2008 - 16:49
Valkos 1181890254........ X78k693Tvz
..... Я надеюсь мне не надо продолжать? Ха! Ха! Ха!
2:я свой пороль уже сменил, чего и вам советую
1:От того что ты сменил пароль ничего не измениться845ь и снимать деньги я не буду не волнуйтесь.......Может наконец админ проснется и залатает свою дарочку пока не .... ну не важно
2:а за сколько бы ты продал админу свой секрет? ну или например мне?
1:вы юзерки89 наверное не врубаитесь- = что отправлять лично пароль я больше не буду. У меня есть пароль от Admin 7 панели :; может вам и его выложить. Суть хакера заключается не втом что4 б взламать и ограбить а втом чтоб0 покозать что да я умею взламывать серваки . Ксати интересует токая ху..ня как PLATI/ru
Дальше - нет смысла
Но вот еще: вы заметили как увеличилось количество серфинга? Читаем дальше...
Настала пора раскрыть карты и выложить все широкой публике
Уязвимость скрывалась (впрочем почему скрывалась? До сих пор скрывается ) в реффссылке вы увидите свои куки. Теперь, собственно, реализация атаки. В серфинге крутим страничку, например www.mybadsite.ru/grab.html содержащую следующий HTML код.
Код
Скрыто
Отсюда мы видим, что в страничку регистрации WMMail инжектируется чужой javascript с другого сайта, с моего то есть. Вот содержание этого файла
Все, одна строчка Скрипт заставляет браузер перейти на скрипт на моем сайте, передав ему в качестве параметра куки жертвы.
Вот код скрипта собирающего куки.
Скрипт берет куки, выдирает из него значимую часть, подготавливает ссылку и записывает готовую ссылку на личные данные в файл. Включаемый файл page.html может быть любой страничкой, например вашей рекламой.
Теперь собственно о получении паролей. Можно конечно открывать по очереди все ссылки в браузере, предварительно выключив в нем поддержку кукисов. Но так как я юзаю линукс, то я сделал все одной строчкой в консоли:
Вот и все. Через несколько минут все странички слиты и можно спокойно начинать выдергивать из них логины и пароли
Думаю это кому нибудь пригодится.
Cейчас конкретно эта ошибка исправлена, но простая подстановка js в страницу регистрации показывает, что:
* Не ставится кука с реферером, который передается в ссылке! В лучшем случае он хранится в сессии, но это однозначно показывает, что рефералы неизбежно будут "теряться".
* Дыра была закрыта на скорую руку и еще вопрос насколько качественно. Вместо жесткого приведения типа и применяется простой htmlspecialchars, т.к. уже прошло не менее недели, то можно считать это показателям качество кода проекта и успешно искать новые дыры. Например, в форме контактов вводимые данные не контролируются на валидность (подобной уязвимости нет)
Мораль сего примера для участников:
* сложные пароли не гарантируют безопасномть аккаунта, из-за ошибок программистов;
* типовые проекты наиболее уязвимы;
* нажимайте кнопку "Выход" - при логауте, удялаются куки и сессии;
* пароли надо регулярно менять;
* администрации WMMail.ru - не есть ни пить, закрывать дыры и неказистую работу скриптов, добавляя валидацию данных по типу и формату;
* всем админам со скриптами CGYP срочно проверять свои проекты :)
Раздел: WMmail.ru - Мой аккаунт, последний комментарий: 14.02.2011 14:06 Тема закрыта автором
ЭТИ СТАТЬИ 100 ЛЕТНЕЙ ДАВНОСТИ!
...В ТЕ ВРЕМЕНА WMMAIL БЫЛ ДЫРЯВ КАК СЫР!
ХОТЯ КУКИ МОЖНО УКРАСТЬ И СЕЙЧАС, НО ЭТО НИЧЕГО НЕ ДАСТ...
ПРИ ПОДСТАВЛЕНИИ КУКИСОВ ДАЖЕ ЕСЛИ ДОП.ЗАЩИТА ОТКЛЮЧЕНА...ВЫЛАЗИЕТ-У вас изменился браузер или IP перезайдите!
А там форма для логина и пароля...
Куки могут быть украдены с помощью анализа трафика — это называется взломом сессии. Сетевой трафик может быть перехвачен и прочитан не только его отправителем и получателем (особенно в публичных сетях Wi-Fi). Этот трафик включает в себя и куки, передаваемые через незашифрованные HTTP-сессии. Там, где сетевой трафик не шифруется, злоумышленники могут прочесть сообщения пользователей сети, в том числе их куки, используя программы, называемые сниферами.
Добавлено спустя 21 секунду
А кстати у админа нет аккаунта на wmmail я баланс смотрел он заходит через админ панель
Да аккаунт админа и есть одна большая админ-панель
Как баланс смотрел?
Куки могут быть украдены с помощью анализа трафика — это называется взломом сессии. Сетевой трафик может быть перехвачен и прочитан не только его отправителем и получателем (особенно в публичных сетях Wi-Fi). Этот трафик включает в себя и куки, передаваемые через незашифрованные HTTP-сессии. Там, где сетевой трафик не шифруется, злоумышленники могут прочесть сообщения пользователей сети, в том числе их куки, используя программы, называемые сниферами.
Добавлено спустя 21 секунду
А кстати у админа нет аккаунта на wmmail я баланс смотрел он заходит через админ панель
Да аккаунт админа и есть одна большая админ-панель
Как баланс смотрел?
Админ выложил свои куки
куки для входа на сайт а так у него нет ака ну я точно не знаю но админ панель точно есть я их знаю их вроде 2!
Вот еще:
"Проверил, действительно выделеный сервер :) Причем на нем крутится не только почтовик, но и много интересных вещей. Немного понасиловав DNS сервер этого сервака, я нашел еще несколько проектов, которые пока еще не работают, но мы можем их увидеть в будущем. Итак, список в студию :)
agent.wmmail.ru - что это будет, доподлинно неизвестно. Пока что.
banners.wmmail.ru - тоже чтото неизвестное, но название уже наводит на мысли :)
prsys.wmmail.ru - Похоже на еще один сайт о заработке с разжевыванием что да как.
sms.wmmail.ru - Пополнение вебманей с помощью SMS.
Похоже у админа грандиозные планы :)
P. S. Все это я смог вытащить, благодаря криво настроеному DNS-серверу, сдается мне там таких кривых настроек навалом."